我正在尝试对 USB (HID) 设备进行逆向工程,但无法真正弄清楚我在 Wireshark(Linux 或 Windows 上的 usbmon +wireshark)上看到的内容与 USB 协议的关系?。我查看了 www.usb.org 上的 USB 协议。
wireshark 显示什么?
1)每包一行?(令牌,数据,握手)
2)每笔交易一行?(令牌 + [数据] + 握手)(我的猜测)
3)每个控制转移一行?
交易的方向也很奇怪(到/从字段)。至少,它不符合我的期望:-) ...枚举的数据部分,隐藏报告等...似乎有时与设置数据(8个字节)一起显示,有时不...我不真的不知道 URB 是什么……就我所见,usb 协议中没有提到那个……在我看来,wireshark/usbmon 在更高的堆栈级别进行跟踪,并试图推断出会是什么在电线上...
下面给出了我能看到的一个例子,我们在这里看到什么?。
a) 我什至在规格中找不到 bmtype=0x20(设置的,帧号=599)。
b) 因为我有一个 HID 设备,所以我假设这可能是一个报告/功能配置(枚举在这个阶段被传递)。所以我可以同意方向(主机-> 设备)。但数据在哪里?或者这里没有数据阶段?那么什么是 600 帧呢?
c) 什么是 600 帧?数据?
d) 什么是 601 帧?状态 ACK?...但是数据和 ACK 具有相同的来源?
No. Time Source Destination Protocol Length Info
599 67.996889 host 2.0 USB 36 URB_CONTROL out
Frame 599: 36 bytes on wire (288 bits), 36 bytes captured (288 …